Re: OT: certifikát na USB disku

Jiri Foldyna jiri.f na foldynovi.cz
Pondělí Leden 8 21:49:14 CET 2018


Dne 08.01.2018 v 21:23 Jindroush napsal(a):
> On 8.1.2018 21:14, Jiri Foldyna wrote:
>> Dne 08.01.2018 v 19:17 Jindroush napsal(a):
>>> Dobry den,
>>> abych si to upresnil:
>>>
>>> Neni certifikat jen nejaky soubor ulozeny na disku? Tj. vas dotaz je, 
>>> jak donutit cizi aplikaci nebo primo windows samy (pokud aplikace 
>>> vyuziva Windowsovsky cert store), aby si samy od sebe vyhledaly na 
>>> nejakych remote-storage discich soubor s certifikatem a zadani hesla?
>>>
>>> On 8.1.2018 18:39, Jiri Foldyna wrote:
>>>> potřeboval bych nekvalifikovanému uživateli umožnit použití 
>>>> kvalifikovaného osobního certifikátu bez nutnosti trvalé instalace 
>>>> na počítači. OS je Windows 7 Professional, certifikát (PostSignum) 
>>>> nebyl vytvořen jako dedikovaný pro instalaci do kryptografického 
>>>> úložiště. Nemá prosím někdo zkušenost s instalací certifikátu do 
>>>> fyzického úložiště vytvořeného na USB flash disku (běžného, ne 
>>>> kryptografického úložiště na USB tokenu)?
>>
>> Dobrý den,
>>
>> ano, to je v podstatě ono. Uživatel dostal certifikát od PostSignum ve 
>> formě .crt souboru, naimportoval jej do svého počítače a následně 
>> vyexportoval pro daší import. Uživatel je lékařka v důchodovém věku, 
>> osobní kvalifikovaný certifikát je (díky eReceptu) nucena používat při 
>> zástupech a na službách, vesměs v prostředí, kde nemůže být ani řeči o 
>> tom, že by měla certifikát importovaný do úložiště v registrech 
>> Windows na pracovišti pod kontrolou.
>> Pokud jsem to stihl, zařídil jsem pro ně osobní certifikáty na TokenMe 
>> (kryptografické úložiště), kde je riziko kompromitování certifikátu 
>> podstatně nižší; v tomto konkrétním případě jsem to ale nestihl a tak 
>> bych certifikát rád udržel alespoň na hw pod kontrolou uživatele. 
>> Představa je taková, že bych chtěl certifikát importovat do uložiště 
>> vytvořeného na běžném USB flash disku a toto úložiště zpřístupnit na 
>> cílovém počítači tak, aby jej aplikace využívající Windows 
>> certifikační mechanismus našla a certifikát dokázala použít. 
>> Samosebou, mohu certifikát naimportovat do již zmíněného tokenu, ale 
>> zajímalo by mě, jestli je naznačený způsob přes vyměnitelné médium 
>> vůbec možný a pokud ano, tak jak :-)
> 
> Zkoumal jsem, nenasel jsem zadny zpusob, jak donutit windows, aby si 
> samy od sebe zacaly hledat soubor na usb, a stejne by ho akorat natvrdo 
> naimportovaly. Existuje moznost mit ho v roaming profilu, ale to zase 
> vyzaduje AD, tj. zcela jine pouziti.
> 
> Mozna by slo napsat vlastni CSP (cryptography service provider), ale zni 
> to tak salene, ze je samozrejme reseni pres ten token jako nejschudnejsi.
> 
> V kazdem pripade se domnivam, ze kazdy lekar by mel mit ten cert na 
> smartcard/tokenu a s heslem a nosit ho ssebou. Jinak si zacnu pripadat 
> jako v dobe, kdy smazkam stacilo ukrast stos tech spravnejch receptu a 
> razitko ;)

Dobrý den,

to mi je jasné. Problém je v tom, že je spousta lékařů, kteří se v 
problematice elektronického podpisu vůbec neorientují a důsledky 
kompromitace osobního kvalifikovaného certifikátu vůbec neznají. Vloni 
údajně proběhla nějaká školení lékařů na téma eReceptu, ale žádný z 
účastníků, se kterýma jsem měl možnost mluvit, nějakou přednášku na téma 
počítačové bezpečnosti od SUKLu jakožto garanta eReceptu v rámci těchto 
školení nezaregistroval. Přitom si většina těch lékařů osobní 
kvalifikovaný certifikát pořizovala jen kvůli eReceptu...

Díky
jf


Další informace o konferenci Hw-list